C’est un moment effrayant pour être un utilisateur Windows. Lenovo regroupait le logiciel publicitaire Superfish détournant HTTPS, Comodo est livré avec une faille de sécurité encore pire appelée PrivDog, et des dizaines d’autres applications comme LavaSoft font la même chose. C’est vraiment mauvais, mais si vous voulez que vos sessions Web cryptées soient détournées, dirigez-vous simplement vers les téléchargements CNET ou n’importe quel site de logiciel gratuit, car ils regroupent tous des logiciels publicitaires de rupture HTTPS maintenant.
Le fiasco de Superfish a commencé lorsque les chercheurs ont remarqué que Superfish, fourni sur les ordinateurs Lenovo, installait un faux certificat racine dans Windows qui détourne essentiellement toute la navigation HTTPS afin que les certificats semblent toujours valides même s’ils ne le sont pas, et ils l’ont fait dans un tel cas. manière non sécurisée que n’importe quel pirate de script kiddie pourrait accomplir la même chose.
Et puis ils installent un proxy dans votre navigateur et forcent toute votre navigation à travers celui-ci afin qu’ils puissent insérer des publicités. C’est vrai, même lorsque vous vous connectez à votre banque, à votre site d’assurance maladie ou à tout autre endroit qui devrait être sécurisé. Et vous ne le sauriez jamais, car ils ont cassé le cryptage Windows pour vous montrer des publicités.
Mais le triste et triste fait est qu’ils ne sont pas les seuls à faire ça – les logiciels publicitaires comme Wajam, Geniusbox, Content Explorer et d’autres font exactement la même chose, installant leurs propres certificats et forçant toute votre navigation (y compris les sessions de navigation cryptées HTTPS) à passer par leur serveur proxy. Et vous pouvez être infecté par ce non-sens simplement en installant deux des 10 meilleures applications sur les téléchargements CNET.
L’essentiel est que vous ne pouvez plus faire confiance à cette icône de verrouillage verte dans la barre d’adresse de votre navigateur. Et c’est une chose effrayante et effrayante.
Comment fonctionne l’adware de piratage HTTPS et pourquoi il est si mauvais
Ummm, je vais avoir besoin de vous pour fermer cet onglet. Mmkay?
Comme nous l’avons déjà montré, si vous faites la gigantesque erreur de faire confiance aux téléchargements CNET, vous pourriez déjà être infecté par ce type de logiciel publicitaire. Deux des dix meilleurs téléchargements sur CNET (KMPlayer et YTD) regroupent deux types différents de logiciels publicitaires de piratage HTTPS, et dans nos recherches, nous avons constaté que la plupart des autres sites de logiciels gratuits font la même chose.
les installateurs sont si compliqués et compliqués que nous ne savons pas qui fait le «regroupement», mais CNET fait la promotion de ces applications sur leur page d’accueil, donc c’est vraiment une question de sémantique. Si vous recommandez aux gens de télécharger quelque chose de mauvais, vous êtes également en faute. Nous avons également constaté que bon nombre de ces sociétés de logiciels publicitaires sont secrètement les mêmes personnes utilisant des noms de sociétés différents.
Sur la base des numéros de téléchargement de la liste des 10 premiers sur les téléchargements CNET uniquement, un million de personnes sont infectées chaque mois par un logiciel publicitaire qui détourne leurs sessions Web cryptées vers leur banque, leur courrier électronique ou tout ce qui devrait être sécurisé.
Si vous avez commis l’erreur d’installer KMPlayer et que vous parvenez à ignorer tous les autres logiciels de crapaud, cette fenêtre vous sera présentée. Et si vous cliquez accidentellement sur Accepter (ou appuyez sur la mauvaise touche), votre système sera mis en marche.
Les sites de téléchargement devraient avoir honte d’eux-mêmes.
Si vous avez fini par télécharger quelque chose à partir d’une source encore plus sommaire, comme les publicités téléchargées dans votre moteur de recherche préféré, vous verrez toute une liste de choses qui ne sont pas bonnes. Et maintenant, nous savons que beaucoup d’entre eux vont complètement interrompre la validation du certificat HTTPS, vous laissant complètement vulnérable.
Lavasoft Web Companion rompt également le cryptage HTTPS, mais ce bundler a également installé un logiciel publicitaire.
Une fois que vous êtes infecté par l’une de ces choses, la première chose qui se produit est qu’il configure votre proxy système pour qu’il s’exécute via un proxy local qu’il installe sur votre ordinateur. Portez une attention particulière à l’élément «Sécurisé» ci-dessous. Dans ce cas, c’était de Wajam Internet «Enhancer», mais cela pourrait être Superfish ou Geniusbox ou n’importe lequel des autres que nous avons trouvés, ils fonctionnent tous de la même manière.
Il est ironique que Lenovo ait utilisé le mot «améliorer» pour décrire Superfish.
Lorsque vous accédez à un site qui devrait être sécurisé, vous verrez l’icône de verrouillage verte et tout aura l’air parfaitement normal. Vous pouvez même cliquer sur le verrou pour voir les détails, et il semblera que tout va bien. Vous utilisez une connexion sécurisée, et même Google Chrome signalera que vous êtes connecté à Google avec une connexion sécurisée. Mais tu ne l’es pas!
System Alerts LLC n’est pas un véritable certificat racine et vous passez en fait par un proxy Man-in-the-Middle qui insère des publicités dans les pages (et qui sait quoi d’autre). Vous devriez simplement leur envoyer tous vos mots de passe par e-mail, ce serait plus facile.
Alerte système: votre système a été compromis.
Une fois l’adware installé et proxy de tout votre trafic, vous commencerez à voir des publicités vraiment désagréables partout. Ces annonces s’affichent sur des sites sécurisés, comme Google, remplaçant les annonces Google réelles, ou elles s’affichent sous forme de fenêtres contextuelles partout, prenant le contrôle de chaque site.
J’aimerais mon Google sans liens malveillants, merci.
La plupart de ces logiciels publicitaires affichent des liens «publicitaires» vers des logiciels malveillants purs et simples. Ainsi, bien que l’adware lui-même puisse être une nuisance juridique, il permet des choses vraiment, vraiment mauvaises.
Ils accomplissent cela en installant leurs faux certificats racine dans le magasin de certificats Windows, puis en effectuant un proxy des connexions sécurisées tout en les signant avec leur faux certificat.
Si vous regardez dans le panneau Certificats Windows, vous pouvez voir toutes sortes de certificats complètement valides … mais si votre PC a un type de logiciel publicitaire installé, vous allez voir de fausses choses comme les alertes système, LLC ou Superfish, Wajam ou des dizaines d’autres faux.
Est-ce que cela vient de Umbrella Corporation?
Même si vous avez été infecté puis supprimé le logiciel malveillant, les certificats peuvent toujours être là, ce qui vous rend vulnérable aux autres pirates qui ont peut-être extrait les clés privées. De nombreux installateurs de logiciels publicitaires ne suppriment pas les certificats lorsque vous les désinstallez.
Ce sont toutes des attaques d’homme du milieu et voici comment elles fonctionnent
Ceci provient d’une véritable attaque en direct par le formidable chercheur en sécurité Rob Graham
Si votre PC a de faux certificats racine installés dans le magasin de certificats, vous êtes désormais vulnérable aux attaques Man-in-the-Middle. Cela signifie que si vous vous connectez à un hotspot public, ou que quelqu’un accède à votre réseau, ou parvient à pirater quelque chose en amont de vous, il peut remplacer des sites légitimes par de faux sites. Cela peut sembler exagéré, mais des pirates ont pu utiliser des détournements DNS sur certains des plus grands sites du Web pour détourner des utilisateurs vers un faux site.
Une fois que vous êtes détourné, ils peuvent lire tout ce que vous soumettez à un site privé – mots de passe, informations privées, informations de santé, e-mails, numéros de sécurité sociale, informations bancaires, etc. Et vous ne le saurez jamais car votre navigateur vous le dira. que votre connexion est sécurisée.
Cela fonctionne car le chiffrement par clé publique nécessite à la fois une clé publique et une clé privée. Les clés publiques sont installées dans le magasin de certificats et la clé privée ne doit être connue que du site Web que vous visitez. Mais lorsque des attaquants peuvent détourner votre certificat racine et détenir à la fois les clés publiques et privées, ils peuvent faire tout ce qu’ils veulent.
Dans le cas de Superfish, ils ont utilisé la même clé privée sur chaque ordinateur sur lequel Superfish est installé, et en quelques heures, des chercheurs en sécurité ont pu extraire les clés privées et créer des sites Web pour tester si vous êtes vulnérable, et prouvez que vous pourriez être détourné. Pour Wajam et Geniusbox, les clés sont différentes, mais Content Explorer et certains autres logiciels publicitaires utilisent également les mêmes clés partout, ce qui signifie que ce problème n’est pas propre à Superfish.
Cela empire: la plupart de ces conneries désactive complètement la validation HTTPS
Hier encore, les chercheurs en sécurité ont découvert un problème encore plus grave: tous ces proxys HTTPS désactivent toute validation tout en donnant l’impression que tout va bien.
Cela signifie que vous pouvez accéder à un site Web HTTPS qui a un certificat complètement invalide, et ce logiciel publicitaire vous dira que le site est très bien. Nous avons testé les logiciels publicitaires que nous avons mentionnés précédemment et ils désactivent tous complètement la validation HTTPS, donc peu importe si les clés privées sont uniques ou non. Horriblement mauvais!
Tous ces logiciels publicitaires cassent complètement la vérification des certificats.
Toute personne avec un logiciel publicitaire installé est vulnérable à toutes sortes d’attaques et, dans de nombreux cas, continue d’être vulnérable même lorsque l’adware est supprimé.
Vous pouvez vérifier si vous êtes vulnérable à Superfish, Komodia ou à la vérification de certificat invalide en utilisant le site de test créé par des chercheurs en sécurité, mais comme nous l’avons déjà démontré, il y a beaucoup plus d’adwares faisant la même chose, et d’après nos recherches, les choses vont continuer à empirer.
Protégez-vous: vérifiez le panneau des certificats et supprimez les entrées incorrectes
Si vous êtes inquiet, vous devriez vérifier votre magasin de certificats pour vous assurer que vous n’avez pas installé de certificats fragmentaires qui pourraient être activés plus tard par le serveur proxy de quelqu’un. Cela peut être un peu compliqué, car il y a beaucoup de choses là-dedans, et la plupart sont censées y être. Nous n’avons pas non plus une bonne liste de ce qui devrait et ne devrait pas être là.
Utilisez WIN + R pour ouvrir la boîte de dialogue Exécuter, puis tapez «mmc» pour ouvrir une fenêtre Microsoft Management Console. Ensuite, utilisez Fichier -> Ajouter / Supprimer des composants logiciels enfichables et sélectionnez Certificats dans la liste de gauche, puis ajoutez-le sur le côté droit. Assurez-vous de sélectionner Compte d’ordinateur dans la boîte de dialogue suivante, puis cliquez sur le reste.
Vous voudrez vous rendre auprès des autorités de certification racines de confiance et rechercher des entrées vraiment sommaires comme celles-ci (ou quelque chose de similaire)
- Sendori
- Purelead
- Onglet Rocket
- Super poisson
- Regarde ça
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler est un outil de développement légitime mais un malware a détourné leur certificat)
- Alertes système, LLC
- CE_UmbrellaCert
Cliquez avec le bouton droit de la souris et supprimez l’une de ces entrées que vous trouvez. Si vous avez vu quelque chose d’incorrect lorsque vous avez testé Google dans votre navigateur, assurez-vous de le supprimer également. Faites juste attention, car si vous supprimez les mauvaises choses ici, vous allez casser Windows.
Nous espérons que Microsoft publiera quelque chose pour vérifier vos certificats racine et s’assurer que seuls les bons sont là. Théoriquement, vous pourriez utiliser cette liste de Microsoft des certificats requis par Windows, et alors mise à jour vers les derniers certificats racine, mais ce n’est absolument pas testé à ce stade, et nous ne le recommandons vraiment pas tant que quelqu’un ne le testera pas.
Ensuite, vous devrez ouvrir votre navigateur Web et trouver les certificats qui y sont probablement mis en cache. Pour Google Chrome, accédez à Paramètres, Paramètres avancés, puis Gérer les certificats. Sous Personnel, vous pouvez facilement cliquer sur le bouton Supprimer sur tout certificat incorrect…
Mais lorsque vous accédez aux autorités de certification racines de confiance, vous devrez cliquer sur Avancé, puis décocher tout ce que vous voyez pour arrêter d’accorder des autorisations à ce certificat …
Mais c’est de la folie.
Allez au bas de la fenêtre Paramètres avancés et cliquez sur Réinitialiser les paramètres pour réinitialiser complètement Chrome aux valeurs par défaut. Faites de même pour tout autre navigateur que vous utilisez, ou désinstallez complètement, effacez tous les paramètres, puis réinstallez-le.
Si votre ordinateur a été affecté, vous feriez probablement mieux de faire une installation complètement propre de Windows. Assurez-vous simplement de sauvegarder vos documents et photos et tout cela.
Alors, comment vous protégez-vous?
Il est presque impossible de se protéger complètement, mais voici quelques conseils de bon sens pour vous aider:
Mais c’est énormément de travail pour simplement vouloir naviguer sur le Web sans être détourné. C’est comme traiter avec la TSA.
L’écosystème Windows est une cavalcade de crapware. Et maintenant, la sécurité fondamentale d’Internet est brisée pour les utilisateurs de Windows. Microsoft doit résoudre ce problème.
